ABNT NBR ISO 31000:2018 Introdugao Este documento ¢ para uso por pessoas que ctiam e protegem valor nas organizagoes, gerenciando riscos, tomando decisbes, estabelecendo e alcangando objetivos © melhorando o desempenho. Organizagées de todos os tipos e tamanhos enfrentam influéncias e fatores extemos @ internos que tomam incerto se elas alcangarao seus objetivos.. Gerenciar riscas ¢ iterativo e auxilia as organizagées no estabelecimento de estratégias, no alcance de objetivos € na tomada de decis6es fundamentadas, Gerenciar riscos é parte da governanca e lideranga, e & fundamental para a maneira como a organi zagho gerenciada em todos os niveis. Isto contribui para a melhoria dos sistemas de gest. Gerenciar riscos 6 parte de todas as atividades associadas com uma organizacao e inclul interagao ‘com as partes interessadas. Gerenciarriscos considera 0s contextos externo e interno da organiza¢ao, incluindo o comportamento humano e os fatores culturais. Gerenciar riscos baseia-se nos principios, estrutura © processos delineados neste documento, ‘como ilustrado na Figura 1. Estes componentes podem ja existr total ou parcialmente na organizagao contudo, podem necessitar ser adaptados ou melhorados, de forma que gerenciar riscos seja eficiente, eficaz e consistente, Figura 1 — Principios, estrutura e processo wi (© 160 2018 -@ABNT 2018 Todos oe areas reserodce RSNORMA BRASILEIRA ABNT NBR ISO 31000:2018 Gestao de riscos — Diretrizes 1 Escopo Este documento fomece diretrizes para gerenciarriscos enfrentados pelas organizacées. A aplicacso destas diretrizes pode ser personalizada para qualquer organizagéo e seu contexto. Este documento fomece uma abordagem comum para gerenciar qualquer tipo de risco e nao é espe- cilfico para qualquer indiistria ou setor. Este documento pode ser usado ao longo da vida da organizacao e aplicado a qualquer atividade, ‘cluindo a tomada de deciséo em todos as nivel, 2. Referéncias normativas Nao hé referéncias normativas neste documento. 3 Termos e definigoes Para os efeitos deste documento, aplicam-se os seguintes termos @ detfnigdes. AISO e a IEC mantém bases de dads terminolégicos para uso em normalizagao nos seguintes enderegos: — ISO Online Browsing Platform: disponivel em http:/vwmwiso.org/obp — IEC Electropedia: cisponivel em http:/hwww.electropedia.org 34 risco efelto da incerteza nos objetivos Nota 1 de entrada: Um efeito 6 um desvio em relacao ao esperado. Pode ser positivo, negative ou ambos, pode abordar, iar ou resultar em oportunidades e ameacas, Nota 2 de entrada: Objetivos podem possuir diferentes aspectos e calegorias, e podem ser aplicados em diferentes niveis, Nota 3 de entrada: Risco 6 normalmente expresso em termos de fontes de risco (3.4), eventos (3.5) potenciais, suas consaquéncias (3.6) © suas probabilidados (3.7) 32 gosto de riscos atividades coordenadas para dirigir e controlar uma organizagao no que se refere a riscos (3.1) 33 parte interessada pessoa ou organizacao que pode afetar, ser afetada ou perceber-se afetada por uma decisao ou atividade Nota 1 de entrada: © termo “parte iteressada” pode ser utlizado como altemmativa a “stakeholder” (© 160 2018-6 ARNT 2018 Todos 0 dos eservadcs 1 urABNT NBR ISO 31000:2018 34 fonte de risco ‘elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco (3.1) 35 evento ‘ocorréncia ou mudanga em um conjunto especifico de circunstancias Nota 1 de entrada: Um evento pode consistir em uma ou mais ocorréncias e pode ter varias causas e varias consequéncias (3.8) Nota 2 de entrada: Um evento pode também ser algo que é esperado, mas no acontece, ou algo que nao é ‘esperado, mas acontece. Nota 3 de entrada: Lm evento pode ser uma fonte de risco. 3.6 consequéncia resultado de um evento (3.5) que afeta os objetivos Nota 1 de entrada: Uma consequéncia pade sor certa ou incerta @ pode ter efeitos positives ou negatives, diretos ou indiretos, nos objetivos. Nota 2 de entrada: As consequéncias podem ser expressas qualitativa ou quantitativamente, Nota de entrada: Qualquer consequéncia pode escalar por meio de efeitos cascala e cumulativos. 37 probabilidade ‘chance de algo acontecer Nota 1 de entrada: Na terminologia de gestdo de riscos (3.2), a palavra“probabilidade” 6 utlizada para referi-se 2 chance do algo acontecer, ndo Importando se definida, medida ou determinada, ainda que objotiva ou subjetivamente, qualitativa ou quantitavamente, e se descnta utlizando-se termos gerais ou matamaticos (como probabilidade ou frequéncia durante um determinado periodo de tempo). Nota 2 de entrada: © termo em inglés “ikeinood’ no tem um equivalente direto em algumas linguas; ‘em vez disso, o equivalente do termo “probabilly’¢frequentemente ullizado. Enlretanto, em inglés, ‘probability 4 muitas vezes interpretado estrtamente como uma expresso matemitica. Portanto, na terminologia de gestio de riscos, convém que "ikslinood’ seja ullizado com a mesma ampla inlerpretayao que o lermo “probably” em ém muitos outros idlomas, além do inglés. 38 controle medida que mantém efou modifica o risco (3.1) Nota 1 de entrada: Controles incluem, mas no estao limitados a, qualquer processo, politica, dispositive, pratica, ou outras condig6es e/ou ages que mantém e/ou modificam o risco, Nota 2 de entrada: Controles podem nem sempre exercer 0 efeito modificador pretendid ou presumido. 4 Principios 0 propésito da gestio de riscos ¢ a criagao e protegao de valor. Ela melhora o desempenho, encoraja a inovagao e apoia 0 alcance de objetivos, 2 150.2018. ABNT 2018 Todos os dos eservadosABNT NBR ISO 31000:2018 Os prinefpios desoritos na Figura 2 fornecem orientagbes sobre as caracteristicas da gestao de riscos, eficaz e eficiente, comunicando seu valor e explicando sua intengao e propésito. Os principios sao a base para gerenciar riscos e convém que sejam considerados quando se estabelecerem a estrutura 2 08 processos de gesiao de riscos da organizagao. Convém que estes principios possibil organizagao a gorenciar of efeitos da incorteza nos seus objetivos. oP cragaoe prego Vay Figura 2 Principios A gestao de riscos eficaz requer os elementos da Figura 2 @ pode ser explicada como a seguir. a) Integrada ‘A gestao de riscos ¢ parte integrante de todas as atividades organizacionais. b) Estruturada e abrangente Uma abordagem estruturada e abrangente para a gestéo de riscos contribui para resultados consistentes e compardveis. ©) Personalizada Aestrutura e 0 processo de gestao de riscos sao personalizados e proporcionais aos contextos lextemo e interno da organizacao relacionados aos seus objetivos. 4d) Inclusiva © envolvimento apropriado e oportuno das partes interessadas possibilita que seus conheci- ‘mentos, pontos de vista e percepgdes sejam considerades. Isto resulta em melhor conscientizago gestao de riscos fundamentada. ©) Dindmica Riscos podem emerir, mudar ou desaparecer & medida que 0s contextos extemo e interno de uma organizacio mudem. A gestZo de riscos antecipa, detecta, reconhece e responde a estas mudangas @ eventos de uma maneira apropriada e oportuna, (© 150 2018-ABNT 2018 Todos oF daos reservados 3ABNT NBR ISO 31000:2018 ) Melhor informiagao disponivel ‘As entradas para a gestio de riscos so baseadas em informagées hist6ricas e atuais, bem como ‘em expectativas futuras. A gest de riscos explicitamente leva em consideragéo quaisquer limi- tages e incertezas associadas a estas informagdes e expeciativas. Convém que a informagao ‘seja oportuna, clara e disponivel para as partes interessadas pertinentes. 9) Fatores humanos e culturais © comportamento humano e a cultura influenciam significativamente todos os aspectos da gestao de riscos em cada nivel e estagio, 1h) Melhoria continua ‘A gestio de riscos & melhorada continuamente por meio do aprendizado e experiéncias. 5 Estrutura 5.1. Generalidades 0 propisito da estrutura da gesiio de riscos & apoiar a organizagao na integragéo da gestio de riscos ‘om alividades significativas @ fungGes. A eficacia da gestao de riscos dependera da sua integragao na governanga e em todas as atividades da organizacao, incluindo a tomiada de decisao. Isto requer apoio das partes interessadas, em particular da Alta Direcdo. O desenvolvimento da estrutura engloba integragao, concepeao, implementagao, avaliagao @ melhoria {da gestdo de riscos através da organizagao. A Figura 3 ilustra os componentes de uma estrutura. Figura 3 Estrutura Convém que a organizagao avalie suas praticas @ processos existontes de gestao de riscos, avalie ‘quaisquer lacunas @ aborde estas lacunas no ambito da estrutura. Convém que os componentes da estrutura e 0 modo como funcionam em conjunto sejam personali- zados para as necessidades da organizacéo. 4 (81502010 ABNT 2018. Todor os dros reratos Fue5.2. Lideranga e comprometimento Convém que a Alta Diregao © os érgaos de supervisao, onde aplicavel, assegurem que a gestéo de riscos esteje integrada em todas as atividades da organizagao, e convém que demonstrem lideranga comprometimento por: — _personalizar @ implementar todos os componentes da estrutura; — emir uma declarago ou politica que estabelega uma abordagem, plano ou curso de aco da gestae de riscos; — _assegurar que os recursos necessarios sejam alocados para gerenciar riscos; — atribuir autoridades, responsabilidades e responsabilizag&o nos niveis apropriados dentro da organizagao; Isto val ajudar a organizacdo a: — alinhar a gestao de riscos com seus objetivos, estratégia e cultura; — reconhecer e abordar todas as obrigagdes, bem como seus compromissos voluntarios; — estabelacer a quantidade e 0 tipo de risco que pode ou nao ser assumido para orientar o desen- volvimento de eritgrios, assegurando que sejam comunicados a organizagao e as suas partes interessadas — comunicar 0 valor da gestao de riscos para a organizagao e suas partes interessadas; —_ promover 0 monitoramento sistematico de riscos; —_assegurar que a estrutura de gestéia de riscos permanesa apropriada ao contexto da organizacéo. NOTA BRASILEIRA © termo “accouniabiliy’ foi raduzido como “‘esponsabilizagao" com o sentido de “responsablidade por alribuigdes © atos", ou seja, por prestar contas. Assim, o termo “accountable” entendido come "responsabilizado’ Alta Diregao 6 responsabilizada por gerenciar riscos, enquanto os érgéios de supervisio so res- onsabilizados por supervisionar a gestdo de riscos. Com frequéncia, é requerido ou esperado que (08 érgaos de supervisao: — _assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da organizagao; —_compreendam os riscos aos quais a organizagao esta exposta na busca de seus objetivos; — assegurem que sistemas para gerencier estes riscos estejam implementados e operem oficazmente; — _assegurem que estes riscos sejam apropriados no contexto dos objetivos da organizaao; — assegurem que @ informagéo sobre estes riscos e sua gestio seja apropriadamente ‘comunicada, {6150 2018 -©ABNT 2018 Tosos op areas reservados 5 fuABNT NBR ISO 31000:2018 5.3 Integragdo Aintegragao da gestéo de riscos apoia-se em uma compreensdo das estruturas @ do contexio orga- nizacional. Estruturas diferem, dependendo do propésito, metas e complexidade da organizacao. Crisco ¢ gerenclado em todas as partes da estrutura da organizagao. Todos na organizagao tem respon- sablidade por gerenciar riscos. ‘Agovemanga orienta orumo da organizacao, suas relagdes externas e internas, @ as regras, processos « praticas necessarias para alcangar 0 seu propésito, As estruluras de gestao Wraduzem a diregao ‘da governanca para a estratécia ¢ 0s objetivos associados requeridos para alcancar niveis desejacos {de desempenho sustentavel e viabilidade a longo prezo. Determinar a responsablizacao pela gestéo de riscos @ 0s papéis de superviséo no ambito de uma organizacéo é parte integrante da governanga da organizagio Integrar a gestao de riscos em uma organizagao é um processo dinamico e iterativo, e convém que sela Personalizado para as necessidades e cultura da organizacao. Convém que a gestao de riscos seja ma parte, e néio separada, do propésito organizacional, governanea, lideranca e comprometimento, estratégia, objetivos © operagies. 5.4 Concepgao 5.4.4 Entendendo a organizagao e seu contexto ‘Ao conceber a estrutura para gerenciar riscos, convém que a organizacéo examine e entenda seus ‘contextos extemo e intemo Examinar 0 contexto extemo da organizacao pode incluir, mas nao esta limitado a: — fatores sociais, culturais, politicos, juridicos, regulatéries, financeiros, tecnolégicos, econdmicos _ambientais, em ambito intemacional, nacional, regional ou local — direcionadores-chave e tendéncias que afetem os objetivos da organizagao; — relacionamentos, percepeées, valores, necessidades e expectativas das partes interessadas externas; — relagbes e compromissos contratuais; — complexidade das redes de relacionamento e dependéncias. Examinar 0 contexto interno da orgar izago pode incluir, mas nao esta limitado a: — Visio, misao e valores; — governanga, estrutura organizacional, papsis € responsabilizagoes; — estratégia, objetivos e politicas — cultura da organizagao; — normas, diretrizes e modelos adotados pela organizacao; — capacidades entendidas em termos de recursos @ conhecimento (por exemplo, capital, tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias); 6 (© 150 2018-© ABNT 2018 Tados ox croton reservados AuABNT NBR ISO 31000:2018 — dads, sistemas de informagao e fluxos de informagao; — relacionamentos com partes interessadas internas, levando em consideragio suas percepgSes e valores; — relagdes contratuais e compromissos; —interdependencias e interconexées. 5.42 Articulando © comprometimento com a gestae de riscos Convém que a Alta Diregao © os érgaos de supervistio, onde aplicdvel, demonstrem e articulem o seu comprometimento continuo com a gestao de riscos por meio de uma politica, uma declaragao ou outras formas que claramente transmitam os objetivos e © comprometimento com a gestao de r'scos de uma organizagao. Convém que 0 comprometimenta inclua, mas nao se limite a — propdsito da organiza¢ao para gerenciar riscos @ vinculos com seus objetivos e outras politicas; — reforgar a necessidade de integrar a gestéo de riscos na cultura global da organizagao; —_ideraraintegragéo da gastio de iscos nas aividades principais do negScio ena tomada de deciséo, —auloridades, responsabilidades e responsabilzagbes; — tomar disponiveis os recursos necessérios; — amaneira pela qual os objetivos conflitantes sao tratados; = medigao e relato no dmbito dos indicadores de desempenho da organizaga — andlise critica e methoria. Convém que 0 comprometimento com a gesto de riscos seja comunicado na organizagao e as partes interessadas, como apropriado, 5.4.3 Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizagées, Convém que a Alta Direcao e os dralos de supervisao, onde aplicavel, assegurem que as autori- dades, responsabllidades e responsabilizacdes para os papéis pertinentes & gestdo de riscos sejam atribuidas e comunicadas a todos os nivels da organizago, e convém que — enfatizem que a gestio de riscos é uma responsabllidade principal; — identifiquem individuos que possuam responsabilizacdo ¢ tenham autoridade para gerenciar riscos (proprietérios dos riscos) 5.4.4 Alocando recursos Convém que a Alta Dirego e os érgaos de supervisdo, onde aplicavel, assegurem a alocagao de recursos apropriados para a gestao de riscos, que podem inclu, mas nao estao limitados a: — pessoas, habilidades, experiéncia e competéncia: — _processos, métodos ¢ ferramentas da organizagao a serem usados na gestio de riscos; (© 180 2018 -@ ABNT2018- Todos or dios erento 7 A.ABNT NBR ISO 31000:2018 — processes ¢ procedimentos documentados; — sistemas de gestdo da informagao ¢ do conhecimento; —_necessidades de treinamento e desenvolvimento profissional. Convém que a organizacao considere as capacidades € restrigbes dos recursos existentes. 5.4.5 Estabolecondo comunicagao ¢ consulta Convém que a organizacdo estabeleca uma abordagem aprovada para comunicagao e consulta para apoiar a estrutura ¢ faciltar a aplicagéo eficaz da gestéo de riscos. Comunicagéo envolve ‘compartihar informago com piblicos-alvo. A consulta também envolve o fornecimento de retorno polos participantes, com a expectativa de que isto coniribuira para as decisdes ¢ sua formulagao ‘ou oulras atividades. Convém que os métodos e contetdo da comunicagao e consulta refitam as ‘expectativas das partes interessadas, onde for pertinente Convém que a comunicago e a consulta sejam oportunas ¢ assegurem que a informagao pertinente seja coletada, consolidada, sintetizada e compartilhada, como apropriado, © que o retorno seja fomecido e as melhorias sejam implementadas. 5.5 Implementagao Convém que a organizagao implemente a estrutura de gestio de riscos por meio de: — desenvolvimento de um plano apropriado, incluindo prazos e recursos; — dentifcagao de onde, quando e como diferentes tipos de decises so tomadas pela organizagao, e por quem; — modificapao dos processos de tomada de decisao aplicaveis, onde necesséro: — garantia de que os arranjos da organizagao para gorenciar riscos sejam claramente compreen- didos e praticados. ‘A mplementagdo bem-sucedida da estrutura requer 0 engajamento e a conscientizagéo das partes inioressadas. Isso permite que as organizagdes abordem oxplictamente a incerteza na tomada de ‘decisdo, enquanto também asseguram que qualquer incerteza nova ou posterior possa ser levada ‘em consideragao a medida que ela surja ‘Adequadamente concebida @ implementada, a estrutura de gestéio de riscos asseguraré que 0 processo de gestio de riscos 6 parte de todas as alividades da organizagao, incluindo a tomada {de decisao, e que as mudangas nos conlextos externo ¢ interno serdo adequadamente capturadas. 5.6 Avaliacao Para avaliar a eficécia da estrutura de gestio de risoos, convém que a organizago — mensure periodicamente 0 desempenho da estrutura de gestéio de riscos em relaglo ao seu propésito, planos de implementacao, indicadores e comportamento esperado; — determine se permanece adequada para apoiar o alcance dos objetivos da organizacao. 8 (© 180 2018-© ABT 2018 Taos ox cos reservados AueABNT NBR ISO 31000:2018 5.7 Melhori 5.71 Adaptacao Convém que a organizagao monitore @ adapte continuamente a estrutura de gestao de riscos para abordar as mudancas externas e intemas. Ao fazer isso, a organizacao pode melhorar seu valor. 5.7.2 Melhoria continua Convém que organizagao melhore continuamente a adequagao, suficiéncia e eficacia da estrutura de gestao de riscos e 2 forma como o processo de gestao de riscos ¢ integrado. ‘A medida que lacunas ou oportunidades de methoria_pertinentes sao identificadas, convém que a organiza¢ao desenvolva planos ¢ tarefas e os alfibua aqueles responsabilizados pela implemen- tacdo. Uma vez implementadas, convém que estas melhorias contribuam para 0 aprimoramento da gestdo de riscos, 6 Processo 6.1 Generalidades O processo de gestdo de riscos envolve a aplicagao sistematica de politica, procedimentos e praticas para as atividades de comunicagao e consulta, estabelecimento do contexto @ avaliagdo, tratamento, monitoramento, analise critica, registro e relato de riscos. Este processo ¢ ilustrado na Figura 4, avallagso de rsc05 Identiieaeao ‘Comunicayao e consulta i i i i Figura 4~Processo Convém que 0 processo de gestéo de riscos seja parte integrante da gestéo e da tomada de daciséo, © seja integrado na estrutura, operagSes e processos da organizago. Pode ser aplicado nos niveis estratégico, operacional, de programas ou de projetos. (© 160 2018 -ABNT 2018 Todo oe cetos reservar 9 Fuss:ABNT NBR ISO 31000:2018 Pode haver muitas aplicagdes do proceso de gestéo de riscos em uma organizagdo, personalizadas para alcancar objetivos e para se adequar aos contextos externo ¢ interno nos quais sao realizadas, Convém que a natureza dinamica e variavel do comportamento humano e cultura seja considerada a0 longo do processo de gestio de riscos. Embora o processo de gestdo de riscos soja frequentemente apresentado como sequencial, na pratica ele 6 iterativo. 6.2. Comunicacao e consulta © propésito da comunicagao e consulta & auxiiar as partes interessadas pertinentes na compreensao do risco, na base sobre a qual decisoes sto tomadas e nas raz6es pelas quais agbes especifcas sao requeridas. A comunicacao busca promover a conscientizagao e o entendimento do risco, enquanto 2 consulta envolve obter retomo e informagéo para auxliar a tomada de deciséo. Convém que uma coordenagio estreita entre as duas facite a troca de informagées factuais, oportunas, pertinentes, precisas @ compreensiveis, levando om consideragao.a confidencialidade eintegridade da informagao, bem como os direitos de privacidade dos individuos. Convém que ocorram comunicagao e consulta com partes interessadas apropriadas externas @ intemas, no Ambito de cada etapa e ao longo de todo 0 processo de gestao de riscos. Comunicagéo @ consulta visam a — reunir diferentes areas de especializagao para cada etapa do processo de gestao de riscos; — assegurar que pontos de vista diferentes sejam considerados apropriadamente 2o se definirem critérios de risco e ao se avaliarem riscos; — _fornecer informagdes suficientes para facilitar a supervisao dos riscos e a tomada de decisao; — construir um senso de inclusao € propriedade entre os afetados pelo risco 6.3 Escopo, contexto e critérios 6.3.1 Generalidades © propésito do estabelecimento do escopo, contexto @ eritérios é personalizar o proceso de gestio de riscos, permitindo um proceso de avaliagio de risoos eficaz e um tratamento de riscos apropriado, Escopo, contexto e critérios envolvem a definigao do escopo do proceso, a compreensao dos contextos externo e interno. 6.3.2 Definindo 0 escopo Convém que a organizagao defina 0 escopo de suas atividades de gestdo de riscos. Como 0 procasso de gestéo de riscos pode ser aplicado em diferentes niveis (por exemplo, estra- tégico, operacional, programa, projeto ou oulras atividades), 6 importante ser claro sobre 0 escopo fem consideragao, os objetivos pertinentes a serem considerados e o seu alinhamento aos objetivos corganizacionais. ‘Ao planejar a abordagem, as consideragoes incluem: — objetivos e decisdes que precisam ser tomadas; 10 (© 150 2018-© ABNT 2010 Todos ox dios reservados AueABNT NBR ISO 31000:2018 — resultados esperados das etapas a serem realizadas no processo; — tempo, localizacao, inclusées e exclusées especificas; — ferramentas e técnicas apropriadas para o processo de avaliagao de riscos; — recursos requeridos, responsablidades e registros a serem mantidos; — relacionamentos com outros projetos, processos e atividedes. 6.3.3 Contextos externo ¢ interno Os contextos extemno e interno so o ambiente no qual a organizagao procura definire alcangar seus objetivos, Convém que 0 contexto do processo de gestao de riscos seja estabelecido a partir da compreensao dos ambientes extero e interno no qual a organizacso opera, e convém que rafita o ambiente especifica da atividade ao qual o processo de gestdo de riscos 6 aplicado. Compreender 0 contexto é importante porque: — a gestio de riscos ocorte no contexto dos objetivos e atividades da organizagao; — fatores organizacionais podem ser uma fonte de risco; — propésito e escopo do processo de gestao de riscos podem estar inter-relacionados com os objetivos da organizagao como um todo: Convém que a organizagao estabeleca os contextos extemo e interno do processo de gestéo de riscos, considerando os fatores mencionados em 6.4.1 6.3.4 Definindo critérios de risco Convém que a organizago especifique a quantidade e o tipo de risco que podem ou nao assumir em relagao aos objetives. Convém também que estabeleca critérios para avaliar a significancia do risco @ para apoiar os processos de tomada de decisao. Convém que os eritérios de risco sejam alinhados a estrutura de gestio de riscos e sejam personalizados para o proposito especifico @ o escopo da atividade em consideracao. Convém que os critérios de risco refitam os valores, objetivos e recursos da organizago e sejam consistentes com as pollticas e declaracSes sabre gestéio de riscos. Convém ue os critérios de risco sejam estabelecidos levando em consideragao as obrigagdes da organizagao 2 08 pontos de vista das partes interessadas. Embora convenha que os oritérios de risco sejam estabslecides no inicio do processo de avaliagao de riscos, eles séo dinamicos; e convém que sejam continuamente analisados crticamente alte- rados, se necessarri. Para estabelecer os critérios de risco, convém considerar; — annatureza e o tipo de incertezas que podem afetar resultados @ objetivos (tanto tangiveis quanto, intengiveis); — como as consequéncias (tanto positivas quanto negativas) ¢ as probabilidades serdo definidas e medidas; (© 160 2018-@ABINT 2018- Toso 08 eres eEeracoe " runABNT NBR ISO 31000:2018 — fatores relacionados ao tempo; — consisténcia no uso de medidas; — como o nivel de risco serd determinad. — como as combinacdes © sequéncias de milliplos riscos serao levadas em consideragao; — a capacidade da organizagao. 6.4. Processo de avaliagio de riscos 6.4.1 Generalidades 0 proceso de avaliagao de riscos ¢ © processo global de identiicago de riscos, andlise de riscos 8 avaliacao de riscos. Convém que 0 processo de avaliagao de riscos seja conduzido de forma sistemética,iterativa e cola- borativa, com base no conhecimento e nos pontos de vista das partes interessadas. Convém que use ‘a melhor informagao disponivel, complementada por investigagao adicional, como necessario. 6.4.2 Identificagao de riscos 0 propdsito da identificagao de riscos é encontrar, reconhecer @ descrever riscos que possam ajudar ‘ou impedir que uma organizagao alcance seus objetivos. Informagoes pertinentes, apropriadas e atua- lizadas sao importantes na identificacao de riscos. ‘A organizagao pode usar uma variedade de técnicas para identificar incertezas que podem afetar um ‘ou mais objetivos. Convém que os seguintes fatores e o relacionamento entre estes fatores sejam considerades: —_fontes tangiveis e intangiveis de risco; = causas ¢ eventos; — _ameagas e oportunidades; — wulnerabilidades e capacidades; — mudangas nos contextos externo e interno; — indicadores de riscos emergentes; — natureza e valor dos alivos recursos; — consequéncias ¢ seus impactos nos objetivos; — limitagdes de conhecimento e de confiabilidade da informagio; — fatores temporais; — _vieses, hipdteses e crengas dos envolvides. R (© 150 2010-© ABNT 2018- Todos ox dios reservados FLABNT NBR ISO 31000:2018 Conwém que a organizacao identifique os riscos, independentemente de suas fontes estarem ou ndo ‘sob seu controle. Convém considerar que pode haver mais de um tipo de resultado, 0 que pode resultar em uma variedade de consequéncias tangiveis ou intangtveis. 6.4.3. An 2 de riscos Q propésito da analise de riscos € compreender a natureza do risco e suas caracteristcas, incluindo o nivel de risco, onde apropriado. A andlise de riscos envolve a consideracéo detalhada de incertezas, fontes de risco, consequéncias, probabilidade, eventos, cenarios, controles e sua eficdcia. Um evento pode ter miltiplas causas e consequéncias e pode afetar miitiplos objetivos. Aanélise de riscos pode ser realizada com varios graus de detalhamento e complexidade, dependendo do propésito da andlise, da disponibilidade e confiabilidade da informagao, e dos recursos disponiveis. ‘As técnicas de andlise podem ser quaiitativas, quantitativas ou uma combinago destas, dependendo das circunstancias e do uso pretendido. Convém que a andlise de riscos considere fatores como: — a probablidade de eventos e consequéncia — anatureza e magnitude das consequencias — complexidade e conectvidade; — fatores temporaise volatilidade; — a eficacia dos controes existentes; —_sensibiidade e niveis de confianga, ‘Aandlise de riscos pode ser influenciada por qualquer divergéncia de opinies, vieses, percepgdes do risco @ julgamentos. Influéncias adicionais sao a qualidade da informagao ullizada, as hipsteses @ a8 exclus0es feitas, quaisquer limitagoes das técnicas e como elas sao executadas. Convém que estas influéncias sejam consideradas, documentadas e comunicadas aos tomadores de decisao. Eventos altamente incertos podem ser dificeis de quantiicar. Isso pode ser um problema ao analisar ‘eventos com consequéncias severas. Nestes casos, usar uma combinacao de técnicas geralmente fornece maior discernimento. Aandlise de riscos fornece uma entrada para a avaliacao de riscos, para decisdes sobre se 0 risco necesita ser tratado e como, e sobre a estratégla e os métodos mals apropriados para o tratamento de riscos. Os resultados propiciam discernimento para decisdes, em que escolhas esto sendo feitas eas opcdes envolvem diferentes tipos e niveis de risco. 6.4.4 Avaliagao de cos (© propésito da avaliagao de riscos @ apoiar decisbes. A avaliagao de riscos envolve a comparagao dos resultados da anélise de riscos com os critérios de risco estabelecidos para determinar onde é necessaria aco adicional. Isto pode levar @ uma decisao de: — fazer mais nada; = considerar as opgGes de tratamento de riscos; (©150 2018 © ABNT 2018 Todos os areas reservados 3 f.19.ABNT NBR ISO 31000:2018 — realizar anélises adicionais para melhor compreender 0 risco; — manter os controles existentes; — reconsiderar os objetivos. Convém que as decisbes levem em consideraedo 0 contexto mais amplo € as consequéncias reais «© percebidas para as partes interessadas externas e internas. Convém que o resultado da avaliagao de riscos seja registrado, comunicado e entéo validado nos niveis apropriados da organizacéo. 6.5 Tratamento de riscos 65.1 Generalidades © propésito do tratamento de riscos é selecionar e implementar op¢6es para abordar riscos CO tratamento de riscos envolve um proceso iterativo de: — formular e selecionar opgdes para tratamento do risco:, — planejar e implementar 0 tratamento do risco; — _avaliar a eficdcia deste tratamento; — decidir se o risco remanescente é aceitével; — se ndo for aceitével, realizar tratamento adicional 6.5.2 Selegao de opgées de tratamento de riscos Selecionar a(s) opgao(des) mais apropriada(s) de tratamento de riscos envolve balancear os bene- ficlos potenciais derivados em relacao ao alcance dos objetivos, face aos custos, esforco ou desvan- ‘As opgées de tratamento de riscos nao sdo necessariamente mutuamente exclusivas ou apropriadas ‘em todas as circunstancias. As op¢des para tratar o risco podem envolver um ou mais dos sequintes: = evitar 0 risco ao decidir nao iniciar ou continuar com a atividade que da origem ao risco: — _assumir ou aumentar o risco de maneira a perseguir uma oportunidade; — remover a fonte de risco; — mudar a probabilidade; — mudar as consequéncias: — _compartithar 0 risco (por exemplo, por meio de contratos, compra de seguros); — eter o risco por decisao fundamentada. 14 180 2018-©ABNT 2018 Todos oe seotoe reservados